Sophos enduser保护

从“病毒扫描”事件源摄取的数据用于分析。添加病毒扫描集成使您可以跟踪哪些用户和资产经常受到感染。此外，InsightIDR使用这些数据产生一些值得注意的行为和警报。

在你开始之前

Sophos enduser保护事件是将写入SQL Server数据库的防病毒（A / V）日志，而不是文件。因此，您必须通过SQL Server客户端连接连接到服务器，以便收集InsightIdr的日志。

要通过SQL Server客户端连接连接到服务器：

1. 收集关于域和用户名/密码、托管Sophos A/V系统的服务器以及SQL server正在“监听”连接(通常是1433或1434)的端口的信息。
2. 取决于数据库文件名(例如SOPHOS52.mdf）和实例的配置SQL Server，确保数据库遵循命名约定SOPHOS52或SOPHOS \ SOPHOS52。
3. 打开“SQL Server Configuration Manager”下的共享内存，命名管道和TCP / IP。

4. 启用与SQL Server数据库的远程连接。
   • 2012 / 2014/2016的SQL服务器：https://docs.microsoft.com/en-us/sql/database-engine/configure-windows/configure-the-remote-access-server-configuration-option
   • 2008年SQL Server：https://blogs.msdn.microsoft.com/walzenbach/2010/04/14/how-to-enable-remote-connections-in-sql-server-2008
5. 确保并记录服务器正在侦听的特定端口并确保本地防火墙未阻止服务器。

如何配置此事件源

1. 从您的仪表板，选择数据采集在左边的菜单上。
2. 出现“数据收集”页面时，单击“设置事件源下拉选择添加事件源。
3. 从“安全数据”部分，选择病毒扫描图标。出现“添加事件源”面板。
4. 选择收集器和事件源。如果需要，可以命名事件源。
5. 选择发送未经过滤的日志。
6. 配置您的默认域和任何高级事件源设置。
7. 在“Server”字段中，输入数据库服务器名称。
8. 在“端口”字段中，输入SQL数据库的端口;默认为1434。
9. 在“数据库”字段中，输入服务器数据库或数据库IP地址。
10. 在“用户域”字段中，输入用户域信息，或您的凭据域。
11. 选择现有凭据或创建一个新的凭据。
12. 在“密码”字段中，输入服务器的密码。
13. 选择节省。